¿Por qué tantos bancos tienen una seguridad de banca electrónica relativamente débil? [cerrado]

Navega tus respuestas
3

Sigo a algunas personalidades de Twitter relacionadas con la seguridad informática: Paul Moore, Taylor Swift, Troy Hunt son los principales 3. Paul Moore está actualmente en el proceso de cambiar de banco, a menudo twitteando y retuiteando acerca de lo inseguros que son estos bancos:

  1. requisitos de contraseña baja locos (no se permiten símbolos, la longitud máxima baja es el 2 más grande);
  2. implementaciones TLS con errores (artículo de Troy Hunt: enlace ), con muchos bancos fallando en cosas como Forward Secrecy, SHA-1, RC4 y TLS 1.2;
  3. métodos de verificación de contraseña extraños que generalmente prueban que no son contraseñas de hash (como pedir 2 caracteres específicos de una contraseña);
  4. formas extrañas de transferir las credenciales de la cuenta (como pedirle a un DM en Twitter o apoyar a las personas que otorgan sus nuevas credenciales por teléfono).

Me doy cuenta de que no todos los bancos tienen estos problemas (por ejemplo, los bancos belgas no usan contraseñas, sino que requieren que acceda a la banca electrónica a través de un lector de tarjetas con su tarjeta de débito, y la mayoría de ellos tiene el TLS adecuado). ), pero parece que muchos bancos tienen al menos 2 de estos problemas, y cuando se les llama, actúan como si no fuera un problema. Mientras tanto, confiamos en estas empresas con nuestro dinero.

¿Por qué tantos bancos tienen uno o más de los problemas anteriores? Me doy cuenta de que parte de esto se debe a requisitos heredados, pero no todo puede ser debido a interfaces obsoletas.

    
pregunta Nzall 19.06.2015 - 21:40
fuente

3 respuestas

10

La razón básica es que, a pesar de todos estos problemas, no sufren infracciones o robos con la suficiente frecuencia para que sea un diferenciador del mercado.

Las contraseñas debilitadas aún rechazan la mayoría de los ataques en línea contra las cuentas de los clientes cuando se combinan con los bloqueos de sus sistemas, la autenticación multifactor y otros controles de intrusión. La mayoría de las contraseñas bancarias de los clientes se roban a través de troyanos en sus sistemas, que funcionan independientemente de la seguridad de la contraseña.

De manera similar, con implementaciones débiles de SSL / TLS, solo hay un número limitado de atacantes en una posición (por ejemplo, acceso a la red y recursos computacionales) para aprovecharla para robar cuentas de clientes o dinero.

Al final del día, los bancos están en el negocio para ganar dinero. Su objetivo es implementar suficiente seguridad para evitar pérdidas y el castigo regulatorio. En algunos casos, están limitados por lo que pueden hacer con los sistemas heredados, pero la mayoría nunca estaría a la vanguardia de las prácticas de seguridad, independientemente de que no agregue mucho valor.

Esto no quiere decir que la seguridad de cada banco sea donde debe estar, solo que tienden a proteger las áreas que les causan problemas y pueden esperar hasta que surja el problema para solucionarlos.

    
respondido por el PwdRsch 19.06.2015 - 22:17
fuente
1

Tienen pocos incentivos para hacerlo.

  • Tienen pólizas de seguro que cubren los fraudes. Si el costo de reparar el agujero X es mayor que el fraude, es posible que no estén muy motivados para solucionarlo.

  • No existe una legislación que los obligue a admitir esas tecnologías (Forward Secrecy, TLS 1.2, etc.)

  • No hay presión por parte de los usuarios para encontrar mejores formas, por lo que pueden ignorar algunas voces con bastante facilidad.

Afortunadamente, no todos los bancos son así, pero creo que explica bastante bien por qué algunos actúan de esa manera.

Además, es posible que sus expertos no sepan o se preocupen por X o tengan una opinión diferente (en el campo de la seguridad hay diferencias sobre cómo considerar algunas características ).

Sobre los puntos que mencionas:

  

requisitos de contraseña baja locos (no se permiten símbolos, la longitud máxima baja es la más grande);

Esto no es justificable IMHO.

  

implementaciones TLS con errores (artículo de Troy Hunt: enlace ), con muchos bancos fallando en cosas como Forward Secrecy, SHA-1, RC4 y TLS 1.2;

Actualizar algo es realmente difícil para instituciones como los bancos. Usan versiones antiguas , y es difícil hacer el apoyo a los protocolos más nuevos (es decir, la actualización). (Un montón de pruebas y preparación)

  

métodos de verificación de contraseña extraños que generalmente prueban que no son contraseñas de hash (como pedir 2 caracteres específicos de una contraseña);

Esto no es necesariamente malo si está bien diseñado. Permite a un atacante que logró robar la solicitud (por lo general, a través de un phishing) para no obtener las credenciales completas. Sin embargo, no lo recomendaría para tu CMS.

  

formas extrañas de transferir las credenciales de la cuenta (como pedirle a un DM en Twitter o apoyar a las personas que otorgan sus nuevas credenciales por teléfono).

Eso es raro, por cierto.

    
respondido por el Ángel 20.06.2015 - 01:48
fuente
1

Los bancos no son lugares donde se recompensa la creatividad, o donde el cambio es parte de la cultura. Además, la industria financiera no es muy conocida por tratar bien a los empleados, por lo que el talento tiende a irse.

Por estas razones, los bancos operan como dinosaurios. No tienen que innovar, por lo que no lo hacen.

No estaría demasiado seguro de que no ocurran violaciones, ya que la industria bancaria también es conocida por su secreto extremo.

    
respondido por el Steve Sether 20.06.2015 - 07:34
fuente

Lea otras preguntas en las etiquetas

alguien compartió su cuenta de google conmigo, ¿soy vulnerable? ¿Qué debo decirle a mi cliente si veo que su sitio es susceptible a la inyección de SQL?